DetailPage-MSS-KB

기술 자료

기술 자료: 834489 - 마지막 검토: 2011년 8월 29일 월요일 - 수정: 2.1

이 페이지에서

이 문서는 웹 사이트 주소(HTTP 또는 HTTPS URL)에 사용자 정보가 포함되어 있을 때 Internet Explorer가 어떻게 동작하는지를 웹 사이트 관리자와 IT 전문가에게 알리기 위한 것입니다.

요약

기본적으로 보안 업데이트 832894가 발표된 후에 출시된 Windows Internet Explorer 버전의 경우 HTTP와 SSL(Secure Sockets Layer)을 사용하는 HTTP(또는 HTTPS URL)에서 사용자 이름과 암호를 처리할 수 없습니다. 다음 URL 구문은 Internet Explorer나 Windows 탐색기에서 지원되지 않습니다.
http(s)://username:password@server/resource.ext
이 문서는 Internet Explorer의 이러한 기본 동작에 대해 설명합니다. HTTP 또는 HTTPS URL에 사용자 정보를 포함하는 경우 이 문서에서 설명하는 해결 방법을 알아보는 것이 좋습니다. 832894 보안 업데이트에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx (http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)

추가 정보

배경 정보

Internet Explorer 버전 3.0 ~ 6.0에서는 다음과 같은 HTTP 또는 HTTPS URL 구문을 사용할 수 있습니다.
http(s)://username:password@server/resource.ext
이 URL 구문을 사용하여 기본 인증 방법을 지원하는 웹 사이트로 사용자 정보를 자동으로 전송할 수 있습니다.

악의 있는 사용자가 이 URL 구문을 사용하여 합법적인 웹 사이트를 여는 것처럼 보이지만 실제로는 거짓(스푸핑) 웹 사이트를 여는 하이퍼링크를 만들 수도 있습니다. 예를 들어, 다음 URL은 http://www.wingtiptoys.com을 여는 것으로 나타나지만 실제로는 http://example.com을 엽니다.
http://www.wingtiptoys.com@example.com
참고 이 경우에 Internet Explorer 6 SP1(서비스 팩 1)과 Windows Server 2003용 Internet Explorer 6은 주소 표시줄에 "http://example.com"만 표시합니다. 그러나, 이전 버전의 Internet Explorer는 주소 표시줄에 "http://www.wingtiptoys.com@example.com"을 표시합니다.

또한, 악의 있는 사용자는 다른 방법과 함께 이 URL 구문을 사용하여 모든 Internet Explorer 버전의 상태 표시줄, 주소 표시줄 및 제목 표시줄에 적법한 웹 사이트에 대한 URL을 표시하는 거짓(스푸핑) 웹 사이트 링크를 만들 수 있습니다.

이 문제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
833786  (http://support.microsoft.com/kb/833786/ko/ ) 거짓(스푸핑) 웹 사이트와 악의 있는 하이퍼링크를 식별하고 이로부터 보호하기 위해 취할 수 있는 조치

변경된 기본 동작에 대한 설명

"배경 정보" 절에서 설명하는 문제를 완화하기 위해 Internet Explorer와 Windows 탐색기에서는 이러한 형식의 HTTP 및 HTTPS URL 처리를 더 이상 지원하지 않습니다. Windows 탐색기와 Internet Explorer는 사용자 정보가 포함된 URL을 사용하여 HTTP 또는 HTTPS 사이트를 열지 않습니다. 기본적으로 사용자 정보가 HTTP 또는 HTTPS URL에 포함된 경우 다음과 같은 제목의 웹 페이지가 나타납니다.
잘못된 구문 오류
참고 이러한 기본 동작의 변경 사항은 다른 프로토콜에 영향을 미치지 않습니다. 예를 들어, 832894 보안 업데이트를 설치한 후에도 FTP URL에는 사용자 정보를 계속 포함할 수 있습니다.

또한 이러한 기본 동작의 변경 사항은 832894 보안 업데이트가 발표된 후에 출시된 보안 업데이트, 서비스 팩 및 Internet Explorer 버전으로도 구현됩니다.

사용자를 위한 해결 방법

주소 표시줄에 URL을 입력하거나 링크를 눌러 여는 URL

일반적으로 주소 표시줄에 사용자 정보가 포함된 HTTP 또는 HTTPS URL을 입력하거나 HTTP 또는 HTTPS URL에 사용자 정보가 포함된 링크를 누르는 경우 Internet Explorer에서 두 가지 방법으로 이 새 동작 변화의 문제점을 피할 수 있습니다.
  • HTTP 또는 HTTPS URL에 사용자 정보를 포함시키지 않습니다.
  • HTTP 또는 HTTPS URL을 입력할 때 사용자 정보를 포함시키지 않도록 사용자에게 지시합니다.
웹 사이트가 기본 인증 방법을 사용하는 경우 Internet Explorer는 사용자 이름과 암호를 묻는 메시지를 자동으로 표시합니다. 경우에 따라 대화 상자에서 암호 저장 상자를 눌러 나중에 해당 웹 사이트를 방문할 경우를 위해 자신의 자격 증명을 저장할 수 있습니다.

응용 프로그램 및 웹 사이트 개발자를 위한 해결 방법

WinInet 또는 Urlmon 함수를 호출하는 개체가 여는 URL

InternetOpenURL 같은 WinInet 또는 Urlmon 함수를 호출할 때 사용자 정보가 포함된 HTTP 또는 HTTPS URL을 사용하는 개체의 경우 웹 사이트에 사용자 정보를 전송하기 위해 다음 방법 중 하나를 사용하도록 개체를 다시 작성하십시오.
  • InternetSetOption 함수를 사용하고 다음 옵션 플래그를 포함합니다.
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    참고 이러한 플래그를 위해 InternetSetOption 옵션은 InternetConnect 함수에서 반환한 핸들을 가지고 있어야 합니다. 따라서 응용 프로그램에서 InternetOpenUrl 함수를 사용하는 경우 응용 프로그램이 InternetConnect, HttpOpenRequestHttpSendRequest WinInet 함수를 사용하도록 수정합니다. 이러한 기능 사용에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
    http://msdn2.microsoft.com/en-us/library/Aa384363 (http://msdn2.microsoft.com/en-us/library/Aa384363)

    http://msdn2.microsoft.com/en-us/library/Aa384233 (http://msdn2.microsoft.com/en-us/library/Aa384233)

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • IAuthenticate 인터페이스를 사용합니다. IAuthenticate Interface 사용 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
참고 이 해결 방법을 이용하여 URL-스푸핑 기술로 리디렉션되는 웹 사이트를 열 수 있습니다. 리디렉션되는 위치를 포함한 전체 URL이 나타납니다. 예를 들어 다음과 같은 URL이 나타납니다.
http://www.wingtiptoys.com@www.example.com
사용자는 여전히 리디렉션된 웹 사이트에 연결됩니다. 이 예에서 사용자는 http://www.example.com에 연결됩니다.

상태 관리를 위해 자격 증명을 사용하는 스크립트에서 연 URL

상태 정보를 관리하기 위해 스크립팅 코드에 사용자 정보가 들어 있는 HTTP 또는 HTTPS URL을 포함하는 경우 사용자 정보 대신 쿠키를 사용하도록 스크립팅 코드를 변경하십시오. 쿠키를 사용하여 상태 정보를 관리하는 방법에 대한 자세한 내용을 보려면 다음 IETF(Internet Engineering Task Force) 웹 사이트를 참조하십시오.
http://www.ietf.org/rfc/rfc2965.txt (http://www.ietf.org/rfc/rfc2965.txt)
Visual Basic을 사용하여 ASP.NET 웹 프로그램에서 HTTP 쿠키를 읽고 쓰는 방법에 대한 예제를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx (http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

새 동작을 해제하거나 다른 프로그램에서 이 동작을 사용하는 방법

웹 브라우저 컨트롤을 호스팅하는 다른 프로그램에서 이 새로운 동작을 사용하거나 Windows 탐색기와 Internet Explorer에서 이 새로운 동작을 해제하도록 레지스트리 값을 설정할 수 있습니다.

웹 브라우저 컨트롤을 호스팅하는 프로그램이 이 새로운 기본 동작을 사용하여 HTTP 또는 HTTPS URL에서 사용자 정보를 처리하는 방법

기본적으로 HTTP 또는 HTTPS URL에서 사용자 정보를 처리하기 위한 이 새로운 기본 동작은 Windows 탐색기와 Internet Explorer에만 적용됩니다. 웹 브라우저 컨트롤을 호스팅하는 다른 프로그램에서 이 새로운 동작을 사용하려면 SampleApp.exe라는 DWORD 값을 만드십시오. 여기서 SampleApp.exe는 프로그램을 실행하는 실행 파일의 이름입니다. 다음 레지스트리 키 중 하나에서 DWORD 값의 값 데이터를 1로 설정하십시오.
  • 이 프로그램의 모든 사용자에 대해 다음 레지스트리 키의 값을 설정하십시오.
  • 이 프로그램의 현재 사용자에 대해 다음 레지스트리 키의 값을 설정하십시오.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

HTTP 또는 HTTPS URL에서 사용자 정보 처리를 위한 새로운 기본 동작을 해제하는 방법

Windows 탐색기 및 Internet Explorer에서 새로운 기본 동작을 자동으로 해제하려면 "해결 지원" 절로 이동하십시오. 이 문제를 직접 해결하려면 "직접 해결" 절로 이동하십시오.

해결 지원



이 문제를 자동으로 해결하려면 Fix it 단추나 링크를 클릭합니다. 파일 다운로드 대화 상자에서 실행을 클릭하고 Fix it 마법사의 단계를 따릅니다.




문제 자동 해결
Microsoft Fix it 50642

참고
  • 자동 해결을 수행하면 Windows 탐색기 및 Internet Explorer를 사용하는 모든 사용자에게 이 새 동작이 해제됩니다.
  • 이 마법사는 영어로만 제공될 수도 있습니다. 그러나 다른 언어 버전의 Windows에서도 자동 해결 기능을 사용할 수 있습니다.
  • 현재 문제가 있는 컴퓨터에서 작업하고 있지 않은 경우 Fix it 솔루션을 플래시 드라이브 또는 CD에 저장한 후 문제가 있는 컴퓨터에서 실행하십시오.

그런 다음 "문제가 해결되었습니까?" 절로 이동하십시오.



직접 해결

Windows 탐색기와 Internet Explorer에서 새로운 기본 동작을 해제하려면 다음 레지스트리 키 중 하나에서 iexplore.exeexplorer.exe DWORD 값을 만들고 값 데이터를 0으로 설정하십시오.
  • 이 프로그램의 모든 사용자에 대해 다음 레지스트리 키의 값을 설정하십시오.
  • 이 프로그램의 현재 사용자에 대해 다음 레지스트리 키의 값을 설정하십시오.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

문제가 해결되었습니까?

  • 문제가 해결되었는지 확인합니다. 문제가 해결되었다면 이 절에서 설명한 작업이 끝난 것이지만 문제가 해결되지 않은 경우에는 기술 지원 서비스에 문의 (http://support.microsoft.com/contactus?ln=ko#tab3) 할 수 있습니다.
  • 의견을 보내 주셔서 감사합니다. 의견을 보내거나 이 해결 방법에 대한 문제점을 보고하려면 "Fix it for me (http://blogs.technet.com/fixit4me/) " 블로그에 의견을 남겨 주시거나 전자 메일 (mailto:fixit4me@microsoft.com?Subject=KB) 메시지를 보내 주십시오.

참조

HTTP 또는 HTTPS URL의 표준 URL 구문에 대한 설명은 다음 IETF(Internet Engineering Task Force) 웹 사이트를 방문하십시오.
RFC 1738: URL(http://services.support.microsoft.com/Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt (http://www.ietf.org/rfc/rfc1738.txt)

RFC 396: URI(Uniform Resource Identifiers): 일반 구문
http://www.ietf.org/rfc/rfc2396.txt (http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt (http://www.ietf.org/rfc/rfc2616.txt)
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 타사 연락처 정보의 정확성을 보증하지 않습니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
키워드: 
kbresolve kbfixme kbmsifixme KB834489
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
중소기업이 아닙니까?
소셜 채널로 문의하기